[AYUDA] Firewall

[Hector Bautista]

Hola, pido un poco de orientación sobre el tema de iptables.

Resulta que tengo un script (que va adjunto a este correo) que ha sido
modificado un poco y que funcionaba perfectamente.

Es una pc con dos tarjetas de red: eth0: 192.168.254.1 y eth1: 10.29.108.12

eth0 está conectado a su vez a un switch y sale a travéz de la
192.168.254.254 (speedstream)
eth1 está conectado a otro switch que la de mi red interna, por lo
tanto la puerta de enlace es la 10.29.108.12

proxy cache transparente con squid


Tuve que reinstalar el sistema, que era un Debian Sarge o Etch (no
recuerdo exactamente) y que había sido actualizado a Sid hace como año
y medio pero que empezó con algunos detalles, sip ya sé que no debí
haber echo eso. :S

Ahora tiene Lenny y por alguna extraña razón el script dejó de
funcionar, puesto que si da acceso a internet pero a todo mundo,
solamente las reglas del squid me está tomando en cuenta y el bloqueo
de puertos, de ahí en fuera nada.

Se supone que hay dos tipos de salida a internet para los equipos de
la red, Libre (jefes principalmente) y Acceso (para todos los demás),
la primera pues básicamente no tiene restricciones de puertos, y en la
segunda sólo algunos puertos están abiertos, para evitar ftp, p2p y
esas cosas. El filtro se hace via MAC Address. Así si pongo esta regla
en el script:

iptables -A Libres -m mac --mac-source 00:D0:59:7B:CF:1C -j ACCEPT
#Una laptop

le estoy indicando que esa mac address tendrá salida a internet libre,
es decir sin restricciones de puertos.

En cambio si escribo en mi script algo así:

iptables -A Acceso -m mac --mac-source 00:11:85:B3:0A:CA -j Puertos
#Una Secretaria

Tendrá salida a internet pero con bloqueo de puertos, además sólo las
pc's que estén dentro de una de estas listas deberían tener salida a
internet, las demás no, y obviamente pues no está funcionando.

Si quisiera dar momentaneamente internet a un equipo, basta con poner
en la terminal algo como esto:

iptables -I Acceso -m mac --mac-source 00:50:22:BB:94:74 -j Puertos	#Pcera

O bien como esto:

iptables -I Libres -m mac --mac-source 00:16:CB:A7:6B:0C -j ACCEPT	    #MacMini

Si lo que quiero es sin restricciones.

Vuelvo a repetir, estaba funcionando bien hasta que reinstalé el
sistema Debian. Alguien que me pueda orientar que habrá que moverle al
script para que funcione más o menos como requiero.

También está viéndose el migrar a IPCop para que la administración sea
via web, pero se requiere que se pueda indicar quién si y quién no
tendrá salida a internet y con bloqueo de puertos.

Saludos y que tengan un buen día.

-- 

Atte.
Héctor Bautista Flores
User Linux # 200509
hbautista at usoli.org
hbautista at gmail.com
Jabber: hbautista en jabber.org
AIM: hectorb02
http://usoli.org
http://hbautista.usoli.org

--~--~---------~--~----~------------~-------~--~----~
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o http://www.compunauta.com/ayuda/
-~----------~----~----~----~------~----~------~--~---

------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: firewall.sh
Type: application/x-sh
Size: 6935 bytes
Desc: no disponible
URL: <https://lists.srvr.mx/pipermail/ayuda/attachments/20081021/0fe8a9d7/attachment.sh>